Anda punya Tiket Piala Dunia. Itu tiba di kotak masuk Anda dengan kode QR, merek profesional, dan email konfirmasi yang tampak seperti aslinya. Sayangnya, ternyata tidak.
Selama bertahun-tahun, menemukan a tipuan relatif sederhana. Alamat email yang mencurigakan, bahasa Inggris yang rusak, atau kesalahan ketik yang jelas sering kali menimbulkan kecurigaan. Tapi di Piala Dunia FIFA 2026tanda-tanda peringatan lama itu menghilang. situs web yang dihasilkan AI, video palsuaudio palsu, dan kampanye phishing yang meyakinkan semakin memudahkan penjahat untuk menyamar sebagai organisasi yang sah.
Dengan Amerika Serikat, Kanada, dan Meksiko yang menyelenggarakan 104 pertandingan di 16 kota, Piala Dunia terbesar dalam sejarah ini telah menciptakan peluang yang belum pernah terjadi sebelumnya bagi penjahat dunia maya.
Lebih dari 13.000 domain bertema FIFA telah didaftarkan antara bulan Januari dan Mei 2026. Pada awal Mei, sekitar satu dari 41 domain telah diidentifikasi sebagai domain yang mencurigakan atau berbahaya—sebelum satu pertandingan pun dimainkan, menurut Tarek Jammoul, direktur pelaksana regional di perusahaan keamanan siber TrendAI.
FIFA memperkirakan lebih dari 6 juta penggemar akan memenuhi stadion untuk menonton turnamen. Faktanya, lebih dari 150 juta tiket telah dipesan dalam 15 hari pertama sejak jendela penjualan saja, menjadikan edisi ini kira-kira kelebihan permintaan sebanyak 30 kali dibandingkan turnamen sebelumnya.
“Piala Dunia adalah kesempatan sempurna bagi para penipu—Anda tidak dapat menciptakan peluang yang lebih baik lagi,” kata David Holtzman, kepala strategi di Naoris Protocol, sebuah perusahaan keamanan siber dan blockchain. “Inilah sepak bola. Rasanya menyenangkan dan tidak berbahaya, sehingga menurunkan pertahanan masyarakat.”
Selama lebih dari satu dekade, phishing telah muncul sebagai penyebab utama tipe yang paling umum penipuan online. Spear phishing—bentuk phishing yang lebih bertarget di mana penyerang menggunakan informasi yang dikumpulkan dari mesin pencari, media sosial, dan sumber online lainnya untuk membuat pesan yang lebih meyakinkan—menimbulkan ancaman yang lebih besar bagi para penggemar Piala Dunia tahun ini.
Skala operasinya sangat besar. Penelitian yang dipimpin oleh perusahaan keamanan siber Group-IB mengidentifikasi hal ini lebih dari 4.300 domain penipuan yang meniru kehadiran web resmi FIFA, bersama dengan enam skema penipuan paralel dan empat aktor ancaman independen yang beroperasi menjelang turnamen.
Penipuan umum termasuk penjualan tiket palsu, imigrasi palsu atau layanan terkait visa, dan tawaran akomodasi yang menyesatkan. Para penggemar juga diperingatkan untuk mewaspadai barang dagangan palsu dan situs web yang meniru merek resmi turnamen.
“Saat kami mendukung Komite Tertinggi Qatar untuk Pengiriman & Warisan (SCDL2022) [at the 2022 FIFA World Cup]ancaman yang kami bantu identifikasi cukup serius namun masih dapat dikenali—antara lain laman tiket palsu, penipuan survei yang menawarkan data seluler gratis, dan aplikasi Android berbahaya yang menjanjikan siaran langsung,” kata Jammoul dari TrendAI.
Penipuan itu sendiri tidak berubah secara dramatis. Perbedaannya terletak pada teknologi di baliknya.
“Pada Qatar 2022kami melihat domain streaming palsu, penipuan survei umpan data, dan skema kripto yang menggunakan kemiripan dengan pesepakbola. Kategori yang sama kini kembali dipentaskan, hanya saja lebih besar dan lebih disempurnakan dengan AI,” kata Jammoul.
Para Penipu Juga Menggunakan AI
“Penipuan meningkat pesat dalam dua tahun terakhir, dan AI adalah alasan utamanya,” kata Holtzman, dari Naoris Protocol. Menurut para ahli, AI tidak menciptakan metode serangan baru—AI membuat penyerang jauh lebih efisien dibandingkan sebelumnya.
Dengan menghasilkan email yang sangat dipersonalisasi dan terlihat profesional dalam skala besar dan membantu penyerang membuat situs web palsu yang meyakinkan, AI secara dramatis memperluas lanskap ancaman.
Pada saat yang sama, AI juga menjadi salah satu alat pertahanan paling kuat dalam industri keamanan siber. Dengan menganalisis data dalam jumlah besar dan mendeteksi pola yang tidak biasa, hal ini dapat membantu mengidentifikasi domain yang mencurigakan dan mengantisipasi ancaman yang muncul. Namun teknologi saja mungkin tidak cukup.
Perusahaan semakin mengandalkan kolaborasi antar platform, perusahaan keamanan siber, dan penegak hukum untuk melacak potensi ancaman. Meta, misalnya, mengatakan pihaknya telah bekerja melalui inisiatif seperti Pertukaran Sinyal Global (GSE) dan Fraud Intelligence Reciprocal Exchange (FIRE) untuk mengidentifikasi dan menghentikan penipuan terkoordinasi yang menargetkan pengguna.
